ProHoster > Blogi > Haldamine > LetsEncrypt plaanib oma sertifikaadid tarkvaravea tõttu tühistada

LetsEncrypt plaanib oma sertifikaadid tarkvaravea tõttu tühistada

LetsEncrypt plaanib oma sertifikaadid tarkvaravea tõttu tühistada
LetsEncrypt, mis pakub krüptimiseks tasuta SSL-sertifikaate, on sunnitud mõned sertifikaadid tühistama.

Probleem on seotud tarkvara viga CA ehitamiseks kasutatud Boulderi juhtimistarkvaras. Tavaliselt toimub CAA kirje DNS-i kontrollimine samaaegselt domeeni omandiõiguse kinnitamisega ja enamik tellijaid saab sertifikaadi kohe pärast kinnitamist, kuid tarkvaraarendajad on teinud selle nii, et kontrolli tulemus loetakse läbinuks järgmise 30 päeva jooksul. . Mõningatel juhtudel on võimalik kirjeid teist korda kontrollida vahetult enne sertifikaadi väljastamist, eelkõige tuleb CAA uuesti kontrollida 8 tunni jooksul enne väljastamist, seega tuleb iga enne seda perioodi verifitseeritud domeen uuesti kontrollida.

Milles on viga? Kui sertifikaaditaotlus sisaldab N domeeni, mis nõuavad korduvat CAA kinnitust, valib Boulder neist ühe ja kontrollib seda N korda. Sellest tulenevalt oli võimalik sertifikaat väljastada ka siis, kui hiljem (kuni X+30 päeva) seadsid CAA kirje, mis keelab LetsEncrypt sertifikaadi väljastamise.

Sertifikaatide kontrollimiseks on ettevõte ette valmistanud veebitööriistmis näitab üksikasjalikku aruannet.

Kogenud kasutajad saavad kõike ise teha, kasutades järgmisi käske:

# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисы

Järgmisena peate vaatama siin oma seerianumber ja kui see on nimekirjas, on soovitatav sertifikaat(id) uuendada.

Sertifikaatide värskendamiseks saate kasutada certbot:

certbot renew --force-renewal

Probleem leiti 29. veebruaril 2020, probleemi lahendamiseks peatati sertifikaatide väljastamine 3:10 UTC kuni 5:22 UTC. Sisejuurdluse andmeil tehti viga 25. juulil 2019, täpsema aruande esitab ettevõte hiljem.

UPD: Interneti-sertifikaadi kinnitamise teenus ei pruugi Venemaa IP-aadressidelt töötada.

Allikas: www.habr.com

Lisa kommentaar